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网 络 分 析 在 网 络 运 维 中 的 应 用 


摘 要 : 网 络 分 析 就 是 通过 对 网 络 数 据 的 全 面 监 控 分 析 ， 对 网 络 中 传输 的 数据 包 进 行 解码 、 检 测 、 分 析 、 诊 断 ， 排 除 各 种 网 
络 应 用 行为 造成 的 网 络 故障 和 问题 ， 准 确 并 快速 地 定位 网 络 病症 ， 规 避 网 络 安全 风险 ， 提 高 网 络 性 能 ， 增 强 网 络 可 用 性 。 本 
文 介绍 了 网 络 分 析 的 位 置 、 数 据 的 筛选 、 统 计 方 法 、 分 析 方法 ， 使 用 网 络 分 析 解 决 性 能 评价 、 网 络 资源 管理 和 决策 ， 以 及 识 
别 网 络 中 的 安全 威胁 等 进行 了 详细 阐述 ， 通 过 实例 讲解 网 络 分 析 在 实践 中 的 重要 作用 。 
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文 / 刘 晨光 
引言 


网 络 是 信息 化 的 基础 ， 是 网 络 业 务 的 高 速 路 ， 网 络 
本 吴 的 稳定 性 、 通 畅 性 决定 了 网 络 业 务 的 发 展 。 网 络 普 
及 率 不 断 提 高 ， 人 类 在 执行 各 种 活动 的 时 候 越 来 越 依赖 
网 络 。 不 断 更 新 的 应 用 ， 规 模 庞大 ， 结 构 复杂 ， 面 临 的 
网 络 故 障 越 来 越 复 杂 ， 故 障 处 理 时 间 越 来 越 紧张 。 如 何 
快速 定位 ， 如 何 进行 网 络 溯源 ， 是 每 个 网 络 运 维 人 员 的 
重要 职责 。 

在 实际 网 络 中 ,通常 部 署 了 大 量 的 设备 ， 如 交换 机 、 
路 由 器 、 防 火 墙 、VPN 、 均 衡 负 载 设 备 、 各 种 终端 、 服 
务 需 等 ， 这 些 设备 上 出 现 的 应 用 故障 ， 都 会 对 业务 造成 
影响 。 网 络 分 析 就 是 通过 对 网 络 数据 的 全 面 监控 分 析 ， 
对 网 络 中 传输 的 数据 包 进 行 解码 、 检 测 、 分 析 、 诊 断 ， 
排除 各 种 网 络 应 用 行为 造成 的 网 络 故障 和 问题 ， 准 确 并 
快速 地 定位 网 络 病症 ,规避 网 络 安全 风险 , 提高 网 络 性 能 ， 
增强 网 络 可 用 性 价值 。 
1. 网 络 运 维 工 作 中 常见 的 故障 

根据 网 络 故 障 的 性 质 可 以 分 为 物理 故障 与 逻辑 故障 。 

(1 ) 物理 故障 是 指 设备 或 线路 损坏 、 插 头 松动 、 网 
络 搬 头 误 接 、 线 路 电磁 干扰 等 故障 。 

(2 ) 逻辑 故障 包括 配置 错误 、 服 务 进程 或 端口 异常， 
以 及 系统 的 负载 过 高 、 恶 意 攻击 等 。 
2. 网 络 故障 判断 

作为 一 名 网 络 管理 员 ， 在 用 户 反 映 网 络 故障 时 一 般 
会 按照 自 下 而 上 的 顺序 逐 层 排除 故障 。 

(1 ) 物理 层 : 网 络 线 绕 的 通 断 ， 交 换 机 端口 连通 并 
UP。 

(2 ) 数据 链 路 层 : ARP 解析 是 否 正常 。 

(3 ) 网 络 层 : IP 地 址 是 否 能 ping 通 。 

(4) 传输 层 : 网 络 上 的 服务 能 否 启用 ， 服 务 端口 能 
否 连通 。 


应 用 层 : 应 用 程序 是 否 正常 工作 ， 
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使 用 。 
3. 网 络 分 析 排 查 故障 

针对 网 络 中 一 些 常 见 的 故障 ， 如 网 络 连通 性 问题 ， 
通过 简单 的 ping，tracert 命令 就 可 以 判断 。 但 遇 到 一 些 复 
杂 的 情况 ， 间 向 性 网 络 故 障 ， 应 用 时 断 时 通 、 网 络 速度 
慢 等 复杂 情况 ， 其 原因 包括 局 域 网 内 设备 的 问题 、 广 域 
网 上 链 路 问题 、 应 用 服务 器 或 客户 端 主机 问题 、 应 用 软 
件 自身 问题 等 ， 这 就 得 用 网 络 分 析 。 

(1) 网 络 分 析 的 位 置 。 网 络 抓 包 分 析 的 位 置 ， 取 决 
于 网 络 折 扑 图 中 数据 源 和 目的 服务 器 ， 以 及 路 由 途径 的 
网 络 设备 。 我 曾经 遇 到 一 个 故障 ， 用 户 总 反映 DNS 解析 
慢 , 部 分 域名 解析 不 成 功 的 现象 。 我 们 首先 在 用 户 端 抓 包 ， 
确实 有 一 部 分 DNS 域名 一 直 没有 回复 ， 然 后 在 DNS 服务 
器 端 抓 包 ， 发 现 所 有 收 到 的 解析 请 求 ， 服 务 器 都 解析 并 
响应 了 。 接 下 来 在 途径 的 网 络 设备 上 通过 端口 镜像 等 方 
法 抓 包 分 析 , 最 后 在 一 个 防火 墙 内 口 和 外 口 的 包 对 比 时 ， 
发 现 数据 包 数 量 有 差异 ， 这 就 意味 着 部 分 包 被 防火 墙 丢 
弃 ， 然 后 对 这 些 被 丢弃 的 包 进 行 分 析 对 比 ， 发 现 被 丢掉 
的 都 是 DNS 大 包 , 可 见 防火 墙 的 MTU 太 小 , 会 丢弃 大 包 ， 
修改 DNS 包 为 最 小 化 或 者 修改 防火 墙 MTU 后 ， 问 题 得 
到 解决 。 这 就 是 网 络 分 析 位 置 的 选取 ， 根 据 网 络 拓扑 和 
异常 数据 流向 设置 多 个 数据 监控 点 ， 逐 个 排除 。 

(2 ) 网 络 分 析 的 数据 筛选 。 网 络 上 有 海量 的 数据 包 ， 
如 何 从 这 些 数据 中 筛选 出 需要 的 部 分 ， 减 少数 据 分 析 的 
工作 量 ， 也 是 数据 分 析 的 重要 步 又 。 数 据 的 筛选 ， 可 以 
在 抓 包 之 前 只 抓 取 有 用 的 数据 ， 这 适用 于 对 故障 有 较 清 
晰 的 认识 ， 比 如 上 面 那 个 DNS 丢 包 的 问题 ， 就 可 以 限定 
只 抓 源 地 址 、 目 的 地 址 、 协 议 DNS 的 数据 包 。 也 可 以 在 
获取 所 有 故障 时 间 段 的 数据 后 再 进一步 筛选， 该 情况 适 
合 于 安装 了 旁 路 日 志 系 统 或 者 分 析 系 统 的 情况 。 一 般 的 
筛选 条 件 有 限定 源 地 址 和 目的 地 址 、 限 定 网 卡 、 限 定 协议 ， 
限定 服务 端口 、 限 定 交 换 机 端口 等 。 
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(3 ) 通过 对 比 的 方法 定位 故障 。 将 正常 时 期 的 数据 
与 故障 时 的 数据 对 比 ， 分 析 找 到 不 同 点 。 有 用 户 称 在 C/ 
S 模式 登录 应 用 系统 时 ， 经 常 登 不 上 去 ， 我 们 抓 取 一 段 时 
间 的 数据 ， 对 比 这 个 传输 用 户 名 密码 的 数据 包 时 ， 发 现 
成 功 登录 的 数据 包 的 大 小 和 失败 的 数据 包 大 小 不 一 样 ， 
由 此 发 现 应 用 程序 设计 的 问题 。 

(4 ) 通 过 数据 流 图 的 方式 分 析 。 用 户 反 映 在 A 楼 快 ， 
B 楼 慢 ， 由 此 怀疑 B 楼 的 交换 机 性 能 或 者 传输 策略 。 用 
测速 工具 测试 网 络 速率 ，A 楼 B 楼 速率 一 样 。 在 用 户 端 
抓 取 一 个 完整 的 数据 交互 过 程 ， 用 流程 图 列 出 所 有 的 交 
互 和 时 间 ， 发 现 B 楼 数据 包 有 一 个 大 约 10 秒 钟 的 间隔 等 
待 ， 等 待 一 个 互联 网 域名 请 求 超时 ， 而 A 楼 的 终端 没有 
配置 DNS 服务 器 ， 就 直接 进行 到 下 一 步 了 ， 这 就 找到 问 
题 的 原因 了 。 

(5 ) 通过 统计 的 方法 定位 故障 。 这 个 是 最 复杂 却 也 
是 最 常用 的 方法 。 有 一 次 ， 用 户 反映 同一 网 段 内 用 户 上 
网 都 很 慢 ， 对 该 交换 机 上 的 网 络 总 流量 及 进出 流量 做 出 
统计 发 现 ， 带 宽 利 用 率 达 到 80% 左右 ， 瞬 时 的 利用 率 甚 
至 更 高 ， 造 成 大 量 的 数据 包 丢 失 ， 广播 包 数 量 惊人 ， 端 
口 频 闪 ， 此 时 基本 可 以 判定 为 广播 或 路 由 环 路 故障 。 统 
计 可 以 根据 多 种 维度 来 进行 ,协议 统计 可 以 分 析 数 据 包 
中 每 种 协议 类 型 的 占 比 重 情 况 ; 对 话 统计 可 以 分 析 特 定 
端点 间 的 所 有 流量 ; Http 流量 统计 可 以 分 析 网 络 某 个 站 
点 的 访问 情况 ， 还 有 很 多 高 级 网 络 统计 工具 。 
4. 网 络 分 析 解 决 性 能 瓶颈 

对 于 一 个 应 用 在 网 络 上 的 传输 性 能 ， 会 受到 带宽 、 
延迟 、 抖 动 、 丢 包 等 参数 的 影响 ， 找 到 影响 传输 性 能 的 
瓶颈 因素 ， 从 而 提升 传输 性 能 。 在 国际 网 络 运 维 中 ,用 
户 反映 备份 线路 启用 后 ， 网 络 明显 变 慢 ， 因 此 申请 增加 
备 线 的 网 络 带宽 。 但 通过 网 络 统计 分 析 发 现 ， 备 线 的 带 
宽 并 没有 被 占 满 ， 还 有 很 大 的 余 量 。 在 客户 端 和 服务 器 
端 抓 包 分 析 TCP 协议 的 交互 ， 耗 时 大 部 分 发 生 在 服务 器 
端 等 待 客户 端的 ACK 确认 ， 但 客户 端 也 及 时 回应 了 ACK 
报 文 , 问题 出 在 了 备 线 的 时 延 上 , 因为 备 线 经 过 迁 回 线路 ， 
时 延 大概 是 主线 的 2 倍 。 在 这 种 情况 下 ， 单 纯 增 加 带宽 
是 解决 不 了 问题 的 ， 在 当前 链 路 情况 下 ， 使 用 并 发 连接 
的 应 用 程序 ， 修 改 操作 系统 TCP 窗口 大 小 ， 都 会 使 得 性 
能 得 到 明显 改观 。 
5. 资源 统计 、 管 理 、 决 策 等 

通过 抓 取 一 段 时 间 网 络 流量 的 原始 数据 ， 进 行 网 络 
行为 规律 及 运行 趋势 分 析 ， 可 以 为 网 络 性 能 优化 、 新 业 
务 部 署 、 带 宽 规 划 、 安 全 策略 等 决策 提供 科学 的 依据 。 
6. 网 络 安全 分 析 

通过 对 数据 包 的 网 络 行为 分 析 ， 进 行 深度 网 络 通讯 
检测 ， 可 以 快速 发 现 网 络 攻击 、 主 动 外 联 、 木 马 通 讯 、 
隐蔽 信道 、 异 常 DNS 解析 、 违 规 操作 等 危害 网 络 安全 的 
异常 行为 。 要 想 识别 网 络 上 的 恶意 流量 攻击 ， 需 要 将 网 
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络 正常 时 的 流量 特征 了 如 指 掌 , 进而 快速 发 现 异常 流量 ， 
比如 ARP、TCP、DNS、 特 定 IP 和 端口 号 等 突 发 流量 。 
有 一 次 ， 大 量 用 户 反 映 网 络 变 慢 、 卡 顿 。 通 过 抓 包 软件 
发 现 网 络 上 几 个 耳 ， 艾 试 与 局 域 网 内 所 有 主机 建立 连 
接 ， 连 接 的 端口 一 致 且 连接 之 间 相 隔 时 间 短 ， 流 量 占用 
较 大 ， 而 且 这 些 数据 包 的 源 卫 隶 属于 同一 网 段 ， 这 极 有 
可 能 是 感染 了 蠕虫 病毒 的 主机 在 扫描 网 络 。 同 样 可 以 通 
过 TCPSYN 扫描 、DOS 攻击 等 也 可 以 通过 异常 流量 分 析 
找到 症结 。 
结语 

以 上 是 日 常 网 络 运 维 中 的 网 络 故障 以 及 解决 方 
法 ， 通 过 实例 介绍 网 络 分 析 的 应 用 ， 单纯 的 网 络 抓 包 ， 
会 捕获 大 量 的 数据 ， 而 通过 各 种 网 络 分 析 的 筛选 和 多 
种 统计 方法 ， 多 层 网 络 协议 分 析 ， 可 以 尽快 找 出 网 络 
中 存在 的 异常 。 当 前 ， 网 络 分 析 领 域 有 很 多 工具 ， 有 
wireshark 、sniffer、NetFlow、jJflow、Sflow、Syslog、xlog 
和 httpwatch 、tcpdump 、OmniPeak 等 ， 只 要 能 解决 问题 ， 
都 是 好 的 网 络 分 析 工 具 。 

网 络 分 析 在 网 络 故障 处 理 中 发 挥 着 越 来 越 重要 的 作 
用 ， 一 切 网 络 分 析 最 终 依 赖 的 是 网 络 技术 人 员 的 知识 、 
经 验 和 分 析 能 力 。 
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